router, token i serwer AAA

[kammil]

Witam!

Zastanawiam się nad tanim rozwiązaniem umożliwiającym zdalne logowanie się do konsoli zarządzania routerem przy wykorzystaniu dynamicznego uwierzytelniania. Dokładnie nad niedrogim dynamicznym uwierzytelnianiem oraz nad wyborem taniego routera.

Myślę, że sieć będzie wyglądała tak:
* w lokalizacji centralnej będzie znajdował komputer administratora, token ActivIdentity generujący hasła jednorazowe, serwer uwierzytelniający ActivIdentity 4TREES AAA
* w kilku lokalizacjach odległych będą znajdowały się routery (którymi zarządzać będzie administrator z lokalizacji centralnej)

Jeśli chodzi o uwierzytelnianie, to pomysł jest taki:
* administrator chcąc zdalnie zalogować się do konsoli zarządzania routerem loguje się do routera przez przeglądarkę www, wpisuje hasło które zostało wygenerowane przez token
* router łączy się z serwerem uwierzytelniającym ActivIdentity 4TREES AAA
* serwer uwierzytelniający ActivIdentity 4TREES AAA odpowiada routerowi czy administrator może się zalogować.

[Pytanie1] Co o tym myślicie?

[Pytanie2] Jeżeli serwer ActivIdentity 4TREES AAA będzie miał stałe publiczne IP, to będzie wszystko poprawnie pracowało?

[Pytanie3] Czy potrzebny jest jeszcze serwer RADIUS, czy router może rozmawiać bezpośrednio z serwerem ActivIdentity 4TREES AAA bez pośrednictwa serwera RADIUS?

[Pytanie4] Jeśli chodzi o wybór routera, to myślałem początkowo o czymś prostym i w miarę niedrogim, np. Linksys WRVS4400N 802.11n z VPNem za około 650zl (VPN może się przydać, a jest jeszcze potrzebne WiFi, dlatego ten model). Ale ten router chyba nie ma dynamicznego uwierzytelniania podczas zdalnego logowania do konsoli zarządzania routerem, więc rozglądam się za innymi routerami. Najlepiej takimi które oprócz ethernetowego portu WAN mają tez ADSL-owy port (na wypadek gdyby łącze internetowe było np. od TPSA'y). Problem w tym, że nie mogę znaleźć routera spełniającego powyższe wymagania poniżej 1500zl. Ile wg Was powinien mniej więcej taki router kosztować? Naprawdę trzeba dopłacić aż 1'000 zł żeby router miał dynamiczne uwierzytelnianie?

Wiem, że pytań jest kilka , dlatego z góry bardzo dziękuje za odpowiedzi!

[TQM]

1. wyglada fajnie
2. ja bym nie dawal tego na publiczne IP ale ustawil VPN miedzy centrala i zdalnym biurem i ten serwer autoryzacji udostepnil w zdalnym biurze przez VPN - to jest standardowe podejscie
3. watpie... chyba ze sam w sobie ma wbudowany serwer radius?
4. cena to jedno, mozliwosci to drugie... wiekszosc tych tanich ma obsluge radius'a ale tylko do dostepu wifi a nie do dostepu do panelu admina - przynajmniej tego nie widzialem jeszcze

Generalnie takie urzadzenia zarzada sie lokalnymi userami - tzn masz konto admina na pudle i na niego sie logujesz. Jesli nie chcesz tego robic przez internet (i slusznie!) to postaw VPN miedzy biurami i skonfiguruj router aby zezwalal na logowanie do panelu tylko via VPN (pamietaj ze czasami trzeba do listy dodac LAN bo inaczej TYLKO vpn bedzie hehe). Jak cos pada to trudno - ktos jedzie na miejsce albo lokalny user zmienia konfiguracje, naprawia a glowny admin pozniej zmienia haslo.

Ja mam cala siec rozpieta na VPNach i dostep do paneli administracyjnych na firewallach, routerach i switchach jest jedynie z wyznaczonych podsieci ktore maja specjalne uprawnienia i cala komunikacja leci via VPN.

[kammil]

Ad.2
Czy takie połączenie VPN pomiędzy lokalizacją centralną a odległymi lokalizacjami trzeba będzie konfigurować za każdym razem na nowo (przy każdym zdalnym połączeniu z routerem), czy wystarczy to raz skonfigurować?

Jeżeli raz wystarczy, to rozumiem, że będzie to konfiguracja VPN jeden-do-wielu, a do tego chyba trzeba mieć w punkcie centralnym jakiś lepszy router?


Aha, i jeszcze jedno [Pytanie 5] : do zdalnego zarządzania tymi routerami w odległych lokalizacjach potrzebne jest w każdej lokalizacji stałe publiczne IP, prawda?


Pozdrawiam i życzę miłego weekendu

[gemini300]

Jak skonfigurujesz polaczenia VPN miedzy routerami to zewnetrzne IP bedzie zbedne bo one i tak beda sie widziec po adresie VPN.

[TQM]

VPN zalezy jeszcze jaki robisz, bo sa rozne i maja rozne mozliwosci/ograniczenia...

Generalnie vpn konfigurujesz raz, wiekszosc urzadzen pozwala na wiecej niz jeden tunel wiec mozesz miec spiete kilka biur z centrala albo biuro z biurem aby ruch nie szedl przez centrale (wtedy masz w miare mozliwosci kazdy-z-kazdym). VPN to jakbys poloayl kabel ethernet miedzy sieciami i zrobil routing - mozesz na tym firewall jeszcze puscic i limitowac kto co ma...

Ja mialem router Draytek Viggor 2800gv jak pisalem post o VPNach (http://hack.pl/forum/tutoriale/702-t...ym-sie-je.html) i ten pozwalal na 32 tunele IPSec, mial jeszcze L2TP i PPTP dial-in/out i zdecydowanie miesci sie w limicie cenowym jaki podales.

Teraz tak...
IPSec - oba konce tunelu musza miec stale, publiczne adresy IP.
PPTP - to jest punkt-punkt wiec jeden musi miec publiczny IP i jest serwerem, klient moze byc za NAT...
OpenVPN - przynajmniej jeden koniec musi miec publiczny IP albo co najmniej port-forward ustawiony aby mozna bylo udostepnic jeden port (TCP lub UDP).

Ja swoje sieci ma rozpiete na IPSec, kazdy firewall jaki tam jest ma publiczny staly adres IP, za firewallami jest zazwyczaj 2 i wiecej sieci LAN z roznymi adresami IP ale tak aby sie nie pokrywaly miedzy lokalizacjami. W ten sposob zestawiam polaczenia miedzy firewallami, jak VPN wstanie to w tablicy routingu na firewallu pojawia sie wpis mowiacy ze zdalna siec/sieci dostepne sa przez ten tunel... i teraz bedac w domu moge ping/ssh/itp po prywatnych adresach LAN i caly ruch idzie szyfrowanym kanalem tam gdzie powinien.

HINT: zainteresuj sie Mikrotikami... nie maja lacza ADSL co prawda ale mozna pokombinowac... a z doswiadczenia powiem ze one swietnie sobie radza z VPNami, RADIUS'em itd... i cenowo nic lepszego nie znajdziesz. Mikrotiki maja IPSec, L2TP, PPTP a ten nowsze (software) obsluguja tez OpenVPN zarowno jako klient i jako serwer. Bezsprzecznie to najpotezniejsze, najbardziej elastyczne i najtansze routery jakie mozna teraz kupic
Potrzebujesz jedno biuro z publicznym adresem IP aby mikrotika postawic... dalej pozostale ustawiasz jako klientow OpenVPN i robisz tunel po nazwach (DNS) a nie po IP. Klienci nawet jak sie rozlacza bo maja dynamiczne IP to i tak wroca dosc szybko...